Используем DLP в интересах работника

Логотип компании
Используем DLP в интересах работника
О пирогах и плюшках DLP-систем для защиты интересов работодателя не писал разве что Шекспир. А вот рассказа о том, как с помощью систем защиты от утечек сработать в интересах сотрудника, мы пока не встречали.

О пирогах и плюшках DLP-систем для защиты интересов работодателя не писал разве что Шекспир. А вот рассказа о том, как с их помощью сработать в интересах сотрудников, мы пока не встречали, потому и решили восполнить пробел. Но сама тема, на наш взгляд, будет интересна не только сотрудникам, но и руководству компаний, где уже внедрена и успешно работает система защиты данных от утечек (DLP).

В общем, если вам наплевать на собственный персонал, то можете смело НЕ ЧИТАТЬ нашу статью. А с теми, кто стремится удержать профессиональные кадры (ведь сегодня они прямо-таки на вес золота), мы поделимся боевым опытом, накопленным в ходе пилотных проектов и в процессе эксплуатации этих умных систем.

Кейс 1. Несвоевременная подача сведений о премировании

Возьмем условное предприятие N, в котором уже давно и эффективно реализуется перечень положений о премировании сотрудников: за выслугу лет, за рождение детей, за успешное выполнение сложных проектов и т. п. Но вдруг происходит сбой – несколько человек не получили вовремя положенного вознаграждения. В чем дело? Директор-то своевременно отдал распоряжение о выделении средств!

Как разобраться в причинах произошедшего с помощью DLP и предупредить демотивацию сотрудников?

Современные DLP-системы позволяют контролировать движение информации, разделяя ее на различные виды информационных объектов. По сути это типы информации, имеющие ключевое значение для бизнеса и требующие особого внимания со стороны службы безопасности: финансовые документы, резюме, стратегические планы, протоколы совещаний и т. п. С помощью карты коммуникаций информационных объектов (см. рис. 1) можно увидеть, по каким каналам и сколько раз был передан тот или иной документ за интересующий нас период времени. Переход непосредственно в карточку информационного объекта (в данном случае приказ о поощрении) позволяет, во-первых, точечно проанализировать, кто из сотрудников с ним работал и совершал какие-либо действия, например печатал на принтере или копировал на USB-носитель. А во-вторых, провести расследование и выяснить, кто из ответственных сотрудников вовремя не выполнил прописанные в регламенте оформления премий действия, что и затормозило весь процесс (рис. 2 и 3).

 Используем DLP в интересах работника. Рис. 1

Рис. 1. Карта коммуникаций информационных объектов

Используем DLP в интересах работника. Рис. 2

Рис. 2. Карточка информационного объекта

 Используем DLP в интересах работника. Рис. 3

Рис. 3. Расследование в отношении персоны

Кейс 2. Предотвращение внутренних корпоративных конфликтов и унижения чести и достоинства работников предприятия

К сожалению, в российских компаниях руководители частенько позволяют себе оскорбительные высказывания в адрес подчиненных. Причем не только в устной форме, но и в корпоративной переписке. В особенности этим страдают менеджеры среднего звена – руководители подразделений. Такие действия, согласно законодательству РФ, квалифицируются как административные правонарушения и наказываются штрафами. Сотрудники начинают саботировать выполнение поставленных таким горе-руководителем задач, компания теряет ценные кадры и т. п. Словом, ущерб налицо. Но как владельцу бизнеса выяснить, а главное – получить документальные подтверждения подобного поведения руководителя подразделения?

Продвинутые DLP-системы, как правило, располагают справочником конфликтной лексики. Так, в стенах сельскохозяйственной академии слово «лох» не будет считаться оскорблением, поскольку оно означает род деревьев и кустарников семейства лоховых, а во всех остальных сферах, в частности электронных коммуникациях (корпоративной почте или мессенджерах), DLP-система сразу же выявит факт его неправомерного употребления. Таким образом, в организациях, где данный термин является профессионализмом (как в приведенном случае), можно поместить его в «исключения», чтобы не отвлекаться на ложные срабатывания.

Своевременно проведенное расследование и принятие соответствующих организационных мер позволит предотвратить конфликт и сохранить ценные кадры.

Используем DLP в интересах работника. Рис. 4

Рис. 4. Срабатывание правила по словарям конфликтной лексики

Используем DLP в интересах работника. Рис. 5

Рис. 5. Построение коммуникаций Skype в виде беседы

Кейс 3. Выявление мошеннических действий со стороны членов профкома в ущерб интересам работников

К сожалению, в практике профсоюзных организаций нередки случаи использования служебного положения в мошеннических целях. Например, при распределении путевок на отдых и лечение. Схема проста: выделение путевки работнику, находящемуся в конце списка, или же вообще в обход списка (кому путевка не положена). Естественно, не за красивые глаза… От такой «деятельности» страдают все очередники, особенно те, кто годами ожидает своей путевки.

DLP-система позволяет выявлять в анализируемом трафике терминологию, характерную для деятельности профсоюзных организаций, свидетельствующую о подобного рода активности. Причем качественно настроенная система сработает не только на профессионализмы, но и на связку наиболее часто употребляемых слов, например «путевка – 10% от стоимости – за срочность еще 5», то есть сработает с учетом контекста.

 Используем DLP в интересах работника. Рис. 6

Рис. 6. Выявление мошеннических действий с помощью контентного и контекстного анализа

Кейс 4. Анализ внутреннего климата в коллективе

Зачастую после кадровых изменений в составе топ-менеджмента предприятия некоторые сотрудники, даже самые добросовестные и эффективные, позволяют себе высказывания типа: «Вот очередной варяг нарисовался, работает без году неделю, а вы видели, на какой машине уже приехал?! Ну точно будет воровать». Подобные «вбросы» способны серьезно ухудшить рабочую атмосферу и сказаться на эффективности работы предприятия в целом.

С помощью DLP-системы владельцы бизнеса могут своевременно отследить такого рода тенденции, понять, почему у руководителя сложилась негативная репутация и какие шаги необходимо предпринять для оздоровления обстановки. Системы защиты от утечек способны выявлять в корпоративном трафике слова и выражения, свидетельствующие об ухудшении внутреннего климата, регистрировать аномалии коммуникаций, в частности резкий рост объема сообщений в мессенджерах. Вся эта информация в совокупности (см. рис 7, 8 и 9) составит полную картину происходящих в компании негативных изменений, из которой аналитик службы ИБ сделает соответствующие выводы и доведет их до руководства.

Используем DLP в интересах работника. Рис. 7

Рис. 7. Отображение в интерфейсе DLP-системы всех объектов с демотивирующими высказываниями

Используем DLP в интересах работника. Рис. 8

Используем DLP в интересах работника. Рис. 9

Рис. 8 и 9. Детектирование демотивирующей переписки в мессенджерах

Кейс 5. Дискредитация учетных записей сотрудников

Подобные кейсы часто встречаются на пилотных проектах внедрения DLP-систем. Сотрудники в рамках взаимопомощи (кто-то приболел, ушел в отпуск, а боссу срочно понадобились хранящиеся локально данные, и т. п.) «кидают» коллегам логины-пароли от своих учетных записей в корпоративной сети. А спустя некоторое время из такого «переданного» аккаунта совершается, нелегитимное действие – например, копирование на внешние носители строго конфиденциальной информации (см. на скриншотах ниже). Здесь будет крайне сложно доказать, что пароль был дискредитирован.

Чем в этой ситуации поможет DLP-система? Прежде всего по специальному набору ключевых слов она выявит в потоке трафика факт передачи связки «логин-пароль» и зафиксирует его. А во-вторых, представит документальные подтверждения каждого звена в цепи последовавших в результате компрометации учетки событий.

Используем DLP в интересах работника. Рис. 10

Рис. 10. Выявление передачи по корпоративной почте пароля от учетной записи

Используем DLP в интересах работника. Рис. 11

Рис. 11. Фиксирование факта настройки сотрудником уведомления об отсутствии на рабочем месте

Используем DLP в интересах работника. Рис. 12

Рис. 12. Фиксирование факта скачивания pdf-файла из аккаунта сотрудника в период его пребывания в отпуске

Используем DLP в интересах работника. Рис. 13

Рис. 13. Подтверждение факта отсутствия упомянутого сотрудника в стране в исследуемый период

Используем DLP в интересах работника. Рис. 14

Рис. 14. Фиксация всех видов активности в аккаунте сотрудника в исследуемый период

Используем DLP в интересах работника. Рис. 15

Рис. 15. Детальная информация по всем эпизодам коммуникации из аккаунта сотрудника во время его нахождения в отпуске

Подведем итоги

Мы привели лишь часть наиболее распространенных сценариев использования DLP в интересах работников. Если у вас есть что добавить в копилку подобных кейсов, пожалуйста, делитесь ими в комментариях. Ведь, как показывает практика, в большинстве случаев службы информационной безопасности не используют и половину функциональности внедренных в компаниях DLP-систем. А многие возможные сценарии применения DLP просто неочевидны для заказчиков, хотя способны принести очень большую пользу и руководству, и ИБ-подразделению, и рядовым сотрудникам.

Читайте также
Представьте компьютер, который работает, как ваш мозг — с минимальным энергопотреблением, а данные не приходится гонять между процессором и памятью. А что, если вместо электричества в нем использовать свет? Такие технологии уже разрабатываются: от нейроморфных процессоров до оптических ускорителей. IT-World предлагает разобраться, как свет и биология помогают решить проблемы классических компьютеров, и оценить, какие из этих технологий действительно имеют перспективу в ближайшем будущем.

Опубликовано 04.12.2019